6
Anmeldung an Windows 10 via RDP nicht möglich
... oder welcher verdammte Haken fehlt mir? 
Hallo zusammen,
Bei uns gibt es folgende Konstellation: Nach und nachgehen nun immer mehr Leute ins Homeoffice. Das Hardware-Konstrukt sieht dabei so aus. Es gibt dedizierte Laptops (nicht Domäne) die für den Aufbau der VPN-Verbindung eingerichtet sind. Der Anwender baut eine VPN-Verbindung auf. Anschließend kann er eine RDP-Sitzung auf seinen lokalen Rechner Windows 10 und Windows 8 aufbauen und über die RDP-Verbindung arbeiten. Das ganze Konstrukt funktioniert bislang bei den Anwendern die im HomeOffice arbeiten.
Jetzt kommt eine Gruppe von Anwendern hinzu, die im Gegensatz zur ersten Gruppe, sich nicht an allen Rechnern anmelden dürfen. Bisherige Mitarbeiter in diesem Konstrukt dürfen sich an allen Rechnern anmelden und haben auf die Rechner die sie für das HomeOffice benötigen einen Eintrag in der Gruppe der Remotedesktopbenutzer. Jetzt kommt aber Jonny Test und soll ab Montag von Zuhause aus arbeiten. Jonny hat einen Rechner, der sich da Jonny nennt. Außerdem hat Jonny im AD unter Konto in dem Feld anmelden an Jonny eingetragen. Der Stand ist folgender:
Jonny Test kann sich lokal am Rechner Jonny anmelden.
Jonny Test kann sich lokal nicht am Rechner Doskias anmelden.
Jonny Test kann sich remote nicht am Rechner Jonny anmelden. Es kommt eine Fehlermeldung: Der Systemadministrator hat die Computer beschränkt, mit denen Sie sich anmelden können. Versuchen Sie, sich an einem anderen Computer anzumelden.
Das ist richtig. ich habe die Computer beschränkt, aber der Computer ist namentlich dort angegeben. Wenn ich bei Jonny im AD die Konto-Einstellung von folgende Computer auf alle Computer ändere, dann kann sich Jonny direkt anmelden. Es muss also an der im AD hinterlegten Anmeldebeschränkung liegen. Selbst wenn ich Jonny in der Domäne den aufbauenden Client zusätzlich hinzufüge, behält die Meldung ihr Gültigkeit. Nehme ich den Haken wie gesagt raus, funktioniert es (ohne Neustart des Zielrechners) innerhalb von Sekunden.
Ich muss also irgendeine RDP-Option in den GPOs übersehen oder falsch gesetzt haben. GPOs die bislang im Bereich Anmeldung und RDP aktiv sind regeln die Ressourcenumleitung, Druckerumleitung, erzwingen eine Kennworteingabe bei der Verbindungsherstellung, unterbinden das Speichern von Kennwörtern bei der RDP-Eingabe und Erzwingen die Aktivierung der RDP-Funktion. Vermute eher ich habe eine Option vergessen/übersehen.
Die lokale Richtline, Zuweisen von Benutzerrechten mit der Option Anmelden über Remotedesktopdienste zulassen klang erstmal logisch, macht aber nichts anderes als die User Pflegen die sich an dem Rechner anmelden dürfen. Da das bei jedem Rechner andere User wären, habe ich die Eingaben per Hand auf dem Rechner vorgenommen, was später ein PS-Skript mittels add-localgroupmember durchführen wird. Auch das hinzufügen des Benutzers mittels dieser Option hat keine Änderung hervorgebracht.
Die Google-Suche bringt mich leider immer wieder nur zu Terminalservern (wo ich ganze Gruppen anmelden kann) oder zu Einträgen, die erklären wie man RDP-User am Rechner lokal freigibt. Hier beschriebenes Problem in Verbindung mit Anmeldebeschränkungen aus dem AD habe ich leider bei meiner Google-Suche nicht gefunden. Bin also über jeden Tipp (auch in form von Google-Suchbegriffen ) Dankbar.
Gruß
Doskias
Hallo zusammen,
Bei uns gibt es folgende Konstellation: Nach und nachgehen nun immer mehr Leute ins Homeoffice. Das Hardware-Konstrukt sieht dabei so aus. Es gibt dedizierte Laptops (nicht Domäne) die für den Aufbau der VPN-Verbindung eingerichtet sind. Der Anwender baut eine VPN-Verbindung auf. Anschließend kann er eine RDP-Sitzung auf seinen lokalen Rechner Windows 10 und Windows 8 aufbauen und über die RDP-Verbindung arbeiten. Das ganze Konstrukt funktioniert bislang bei den Anwendern die im HomeOffice arbeiten.
Jetzt kommt eine Gruppe von Anwendern hinzu, die im Gegensatz zur ersten Gruppe, sich nicht an allen Rechnern anmelden dürfen. Bisherige Mitarbeiter in diesem Konstrukt dürfen sich an allen Rechnern anmelden und haben auf die Rechner die sie für das HomeOffice benötigen einen Eintrag in der Gruppe der Remotedesktopbenutzer. Jetzt kommt aber Jonny Test und soll ab Montag von Zuhause aus arbeiten. Jonny hat einen Rechner, der sich da Jonny nennt. Außerdem hat Jonny im AD unter Konto in dem Feld anmelden an Jonny eingetragen. Der Stand ist folgender:
Jonny Test kann sich lokal am Rechner Jonny anmelden.
Jonny Test kann sich lokal nicht am Rechner Doskias anmelden.
Jonny Test kann sich remote nicht am Rechner Jonny anmelden. Es kommt eine Fehlermeldung: Der Systemadministrator hat die Computer beschränkt, mit denen Sie sich anmelden können. Versuchen Sie, sich an einem anderen Computer anzumelden.
Das ist richtig. ich habe die Computer beschränkt, aber der Computer ist namentlich dort angegeben. Wenn ich bei Jonny im AD die Konto-Einstellung von folgende Computer auf alle Computer ändere, dann kann sich Jonny direkt anmelden. Es muss also an der im AD hinterlegten Anmeldebeschränkung liegen. Selbst wenn ich Jonny in der Domäne den aufbauenden Client zusätzlich hinzufüge, behält die Meldung ihr Gültigkeit. Nehme ich den Haken wie gesagt raus, funktioniert es (ohne Neustart des Zielrechners) innerhalb von Sekunden.
Ich muss also irgendeine RDP-Option in den GPOs übersehen oder falsch gesetzt haben. GPOs die bislang im Bereich Anmeldung und RDP aktiv sind regeln die Ressourcenumleitung, Druckerumleitung, erzwingen eine Kennworteingabe bei der Verbindungsherstellung, unterbinden das Speichern von Kennwörtern bei der RDP-Eingabe und Erzwingen die Aktivierung der RDP-Funktion. Vermute eher ich habe eine Option vergessen/übersehen.
Die lokale Richtline, Zuweisen von Benutzerrechten mit der Option Anmelden über Remotedesktopdienste zulassen klang erstmal logisch, macht aber nichts anderes als die User Pflegen die sich an dem Rechner anmelden dürfen. Da das bei jedem Rechner andere User wären, habe ich die Eingaben per Hand auf dem Rechner vorgenommen, was später ein PS-Skript mittels add-localgroupmember durchführen wird. Auch das hinzufügen des Benutzers mittels dieser Option hat keine Änderung hervorgebracht.
Die Google-Suche bringt mich leider immer wieder nur zu Terminalservern (wo ich ganze Gruppen anmelden kann) oder zu Einträgen, die erklären wie man RDP-User am Rechner lokal freigibt. Hier beschriebenes Problem in Verbindung mit Anmeldebeschränkungen aus dem AD habe ich leider bei meiner Google-Suche nicht gefunden. Bin also über jeden Tipp (auch in form von Google-Suchbegriffen
) Dankbar.Gruß
Doskias
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 647671
Url: https://administrator.de/contentid/647671
Ausgedruckt am: 21.11.2024 um 13:11 Uhr
6 Kommentare
Neuester Kommentar
Servas
Remote vom "Heimnetz" oder bereits von außen?
Remote vom "Heimnetz" oder bereits von außen?
Bislang ist Login-Rechner und Zielrechner beide Intern im gleichen Netzt (sogar gleicher Switch).
Firewall als Fehlerquelle kann also ausgeschlossen werden.
Firewall als Fehlerquelle kann also ausgeschlossen werden.
Hi.
Du hast den Rechner "doskias" nicht zusätzlich zu jonny eingetragen, das ist der Fehler.
Du hast den Rechner "doskias" nicht zusätzlich zu jonny eingetragen, das ist der Fehler.
Zitat von @DerWoWusste:
Du hast den Rechner "doskias" nicht zusätzlich zu jonny eingetragen, das ist der Fehler.
Du hast den Rechner "doskias" nicht zusätzlich zu jonny eingetragen, das ist der Fehler.
Nein ist es nicht.
Jonny soll sich nicht an Doskias anmelden können. Deswegen stimmt die Einstellung oben. Deswegen steht da ja ein: Das ist richtig hinter. Jonny soll sich "nur" an seinem Rechner Jonny anmelden können. physisch davor und per RDP. Deswegen ist es für mich nur logisch, wenn Jonny untern anmelden an lediglich seinen Namen hat, auch wenn er sich vom Rechner Doskias darauf verbinden würde. Wenn ich ihm jetzt die Anmeldung an Doksias erlauben müsste, damit er sich via RDP von Doskias auf Jonny Verbinden kann, dann würde er sich auch lokal an Doskias anmelden können und das soll so nicht sein.
So funktioniert Rdp mit NLA aber. Das ist ein seit Jahren bekanntes Problem von NLA!
Ok. Wenn es ein bekanntes Problem ist, dann werde ich damit wohl leben müssen. 
Ergibt keinen Sinn, ist ja aber häufig bei Problemen so. Danke auf jeden Fall für die Hilfe. Es funktioniert jetzt sowohl intern als auch extern.
Ergibt keinen Sinn, ist ja aber häufig bei Problemen so. Danke auf jeden Fall für die Hilfe. Es funktioniert jetzt sowohl intern als auch extern.
